歷史調查 | Trend Micro Service Central

檢視次數:

歷史調查可以快速識別出哪些可能的候選端點需要進一步分析。歷史調查會使用伺服器中繼資料來快速傳回結果。

若要存取此畫面，請移至「回應 → 歷史調查」。

「歷史調查」畫面提供兩個標籤：

標籤	說明
評估	可以使用評估執行下列作業：評估安全威脅的普遍程度，以及安全威脅已在網路中存在多長時間。評估範圍涵蓋所有歷史資料。使用簡單的條件判定安全威脅存在與否。評估僅支援一組有限的條件。評估支援下列條件類型：使用者定義：指定或載入最多 10 個使用者定義的條件，或載入 C&C 回呼事件。如需詳細資訊，請參閱使用者定義的條件支援的格式。 OpenIOC 檔案：使用 OpenIOC 規則定義調查條件。歷史調查會略過所有條件，並比對 OpenIOC 檔案中指定的任何指標。如需詳細資訊，請參閱歷史調查支援的 IOC 指標。評估範圍涵蓋整個伺服器中繼資料，並且會在一找到相符項目時立即更新結果窗格。可能需要數分鐘才能完成對整個伺服器中繼資料的評估。如需詳細資訊，請參閱使用使用者定義的條件進行歷史調查。
根本原因分析結果	如果評估傳回相符項目，則管理員可產生根本原因分析來執行下列作業：列出所有與指定條件相關的物件識別是否有任何相關物件值得注意檢閱導致相符物件執行的一系列事件。產生根本原因分析可能需要一些時間才能完成。使用「根本原因分析」標籤可監控工作進度。如需詳細資訊，請參閱關聯分析。

標籤

說明

評估

可以使用評估執行下列作業：

評估支援下列條件類型：

使用者定義：指定或載入最多 10 個使用者定義的條件，或載入 C&C 回呼事件。

如需詳細資訊，請參閱使用者定義的條件支援的格式。
OpenIOC 檔案：使用 OpenIOC 規則定義調查條件。歷史調查會略過所有條件，並比對 OpenIOC 檔案中指定的任何指標。

如需詳細資訊，請參閱歷史調查支援的 IOC 指標。

評估範圍涵蓋整個伺服器中繼資料，並且會在一找到相符項目時立即更新結果窗格。可能需要數分鐘才能完成對整個伺服器中繼資料的評估。

根本原因分析結果

如果評估傳回相符項目，則管理員可產生根本原因分析來執行下列作業：

產生根本原因分析可能需要一些時間才能完成。使用「根本原因分析」標籤可監控工作進度。

如需詳細資訊，請參閱關聯分析。